Apple maakt het voor malafide appstores mogelijk om Europese Safari-gebruikers via een uniek device ID op internet te volgen, zo waarschuwen onderzoekers. Met de lancering van iOS 17.4 heeft Apple een nieuw 'URI scheme' geïntroduceerd waarmee Europese gebruikers alternatieve appstores kunnen downloaden en installeren vanaf een website. Hiervoor moeten alternatieve appstores aan hun website het URI scheme toevoegen.

In het geval van Safari blijkt de browser niet te controleren of het gebruikte URI scheme wel aan de juiste website is toegevoegd. Daardoor is het mogelijk om het URI scheme toe te voegen aan een website die niet van de betreffende alternatieve appstore is. Safari zal in dit geval via de URI toch informatie over het toestel van de gebruiker naar deze website sturen.

Meerdere websites kunnen dit "MarketplaceKit-proces" via de URI aanroepen, waarbij steeds hetzelfde unieke device ID wordt verstuurd. "Een malafide alternatieve marktplaats kan deze truc gebruiken om gebruikers over meerdere websites te volgen", aldus onderzoekers Talal Haj Bakry en Tommy Mysk. In het geval de Brave-browser wordt gebruikt is deze vorm van tracking niet mogelijk, omdat Brave het betreffende request blokkeert.

"Safari zou gebruikers tegen cross-site tracking moeten beschermen. Het zou moeten doen wat Brave doet en de origin van de website moeten controleren en vergelijken met de opgegeven URL", concluderen de onderzoekers. "Het zou het URI scheme niet moeten aanroepen als de URL's niet overeenkomen." Afsluitend adviseren de onderzoekers het gebruik van Brave, omdat dit de enige geautoriseerde browser is die dit soort cross-site tracking blokkeert.